{"id":216292,"date":"2019-03-28T02:16:33","date_gmt":"2019-03-28T01:16:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=216292"},"modified":"2019-03-28T02:22:52","modified_gmt":"2019-03-28T01:22:52","slug":"backdoor-asus-war-seit-monaten-vor-risiken-gewarnt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/28\/backdoor-asus-war-seit-monaten-vor-risiken-gewarnt\/","title":{"rendered":"Backdoor: ASUS war seit Monaten vor Risiken gewarnt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Zwei Monate bevor bekannt wurde, dass das ASUS Live Update Utility kompromittiert und mit einer Backdoor versehen war, hatten Sicherheitsforscher den PC-Hersteller genau vor so etwas gewarnt. Denn sie waren auf unglaubliche Schlampereien gesto\u00dfen. <\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es in diesem Fall?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg06.met.vgwort.de\/na\/05e645df5910468baed82d67329255d0\" width=\"1\" height=\"1\"\/>Auf den meisten ASUS-Computern ist ein Dienstprogramm mit dem Namen ASUS Live Update vorinstalliert. Dieses wird zur automatischen Aktualisierung bestimmter Komponenten wie BIOS, UEFI, Treiber und Anwendungen verwendet. <\/p>\n<p>Ungekannte Angreifer haben eine alte Version des Dienstprogramms ASUS Live Update genommen, und einen Schadcode f\u00fcr eine Back injiziert. Diese trojanische Version des Dienstprogramms wurde dann mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet. Nat\u00fcrlich wurde diese Version anschlie\u00dfend auch verteilt. Ich hatte einige Informationen im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/03\/25\/shadowhammer-asus-live-update-mit-backdoor-infiziert\/\">ShadowHammer: ASUS Live Update mit Backdoor infiziert<\/a> ver\u00f6ffentlicht. <\/p>\n<h2>Sicherheitsforscher hatten ASUS gewarnt<\/h2>\n<p>Techcrunch berichtet in <a href=\"https:\/\/techcrunch.com\/2019\/03\/27\/asus-hacking-risk\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>, dass das Ganze eine Katastrophe mit Ansage war. Ein Sicherheitsforscher hatte Asus vor zwei Monaten gewarnt. Ihm war aufgefallen, dass Mitarbeiter von ASUS in ihren GitHub-Repositorys Passw\u00f6rter, die f\u00fcr den Zugriff auf das Firmennetzwerk des Unternehmens verwendet werden k\u00f6nnten, unsachgem\u00e4\u00df ver\u00f6ffentlicht hatten. <\/p>\n<p>Ein Passwort, das in einem Mitarbeiter-Repo \u00fcber die Code-Sharing-Funktion gefunden wurde, erm\u00f6glichte es dem Sicherheitsforscher, auf ein E-Mail-Konto zuzugreifen. Dieses E-Mail-Konto wird von internen Entwicklern und Ingenieuren bei ASUS verwendet, um n\u00e4chtliche Builds von Apps, Treibern und Tools an Computerbesitzer weiterzugeben. <\/p>\n<p>\"Es war eine t\u00e4gliche Release-Mailbox, an die automatisierte Builds gesendet wurden\", sagte der Sicherheitsforscher mit dem Online-Namen <a href=\"https:\/\/twitter.com\/SchizoDuckie\" target=\"_blank\" rel=\"noopener noreferrer\">SchizoDuckie<\/a> gegen\u00fcber TechCrunch. E-Mails im Postfach enthielten genau den internen Netzwerkpfad, in dem Treiber und Dateien gespeichert waren.<\/p>\n<p>Der Forscher testete nicht, inwieweit ihm der Zugriff auf das Konto h\u00e4tte gew\u00e4hrt werden k\u00f6nnen- Er warnte aber, dass es einfach sei, in das Netzwerk einzudringen. \"Alles, was Sie brauchen, ist eine dieser E-Mails mit einem Anhang an einen der Empf\u00e4nger f\u00fcr einen wirklich netten Spear-Phishing-Angriff\", sagte der Sicherheitsforscher.<\/p>\n<p>Das fragliche Repository geh\u00f6rte einem ASUS-Ingenieur, der die Passw\u00f6rter des E-Mail-Kontos f\u00fcr mindestens ein Jahr \u00f6ffentlich zug\u00e4nglich machte. Das Repository wurde inzwischen gel\u00f6scht, aber das GitHub-Konto existiert noch.<\/p>\n<h2>Schlamperei sondergleichen<\/h2>\n<p>Es bleibt zwar anzumerken, dass die Hinweise des Sicherheitsforschers den oben erw\u00e4hnten Angriff wohl nicht verhindert h\u00e4tten. Dieser fand ja bereits im Sommer 2018 statt. Aber die obige Episode zeigt, wie es um die Sicherheit in mancher Supply-Chain (Lieferkette) der Hersteller bestellt ist. <\/p>\n<p>Der Sicherheitsforscher fand mindestens zwei weitere F\u00e4lle von Asus-Ingenieuren, die Firmenpassw\u00f6rter auf ihren GitHub-Seiten offenbarten. Ein Asus-Softwarearchitekt mit Sitz in Taiwan \u2013 dort hat das Unternehmen seinen Hauptsitz &#8211; hinterlie\u00df auf seiner GitHub-Seite einen Benutzernamen und ein Passwort im Code. Ein weiterer Dateningenieur mit Sitz in Taiwan hatte ebenfalls Zugangsdaten in seinem Code vergessen. \"Unternehmen haben keine Ahnung, was ihre Programmierer mit ihrem Code auf GitHub machen\", sagt der Forscher. <\/p>\n<p>Einen Tag nachdem Techcrunch ASUS auf die E-Mail des Forschers aufmerksam gemacht hatte, wurden die Repositories mit den Zugangsdaten auf GitHub gel\u00f6scht. ASUS-Sprecher Randall Grilli sagte TechCrunch, dass der Computerhersteller \"nicht in der Lage sei, die G\u00fcltigkeit der Behauptungen in den E-Mails des Forschers zu \u00fcberpr\u00fcfen\". \"Asus untersucht aktiv alle Systeme, um alle bekannten Risiken von unseren Servern und unterst\u00fctzender Software zu entfernen und sicherzustellen, dass es keine Datenlecks gibt\", f\u00fcgte er hinzu. Dann ist nat\u00fcrlich alles im gr\u00fcnen Bereich. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zwei Monate bevor bekannt wurde, dass das ASUS Live Update Utility kompromittiert und mit einer Backdoor versehen war, hatten Sicherheitsforscher den PC-Hersteller genau vor so etwas gewarnt. Denn sie waren auf unglaubliche Schlampereien gesto\u00dfen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-216292","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=216292"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216292\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=216292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=216292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=216292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}